Reinoud Reynders, afdelingshoofd Systemen en Ondersteuning UZ Leuven en Bart Van den Bosch, directeur IT UZ Leuven, formuleren enkele reacties op de resultaten van onze enquête die gepubliceerd werden in onze papieren editie vandaag. Vooral over de verantwoordelijkheid van de gebruiker blijken misverstanden te leven, tonen de resultaten.
Vooreerst wijzen ze erop dat de problematiek voor de ziekenhuisarts vaak totaal verschilt van die van de privé praktijken en/of apotheken. “In een ziekenhuis zorgt de centrale IT-dienst voor de beveiliging en is daardoor de arts vooral een gebruiker en niet verantwoordelijk voor de cybersecurity van het systeem (uiteraard wel voor zijn eigen acties, zoals paswoord geheim houden, scherm afsluiten,...).”
Phishing, hacking, ransomware
Dat slechts 55% van de respondenten te maken gehad zou hebben met een poging tot phishing, verrast hen omdat volgens hen iedereen er al eens mee werd geconfronteerd. Ransomware zien ze als een vorm van hacking en zou volgens hen ook beter zo omschreven worden.
Budget
Ze zijn het er volmondig mee eens dat door iedereen inderdaad meer geïnvesteerd moet worden in cybersecurity, maar de vraag is hoeveel er extra nodig is om een voldoende beveiliging te verzekeren. Het gevraagde bedrag door de NRZV (Nationale Raad Ziekenhuisvoorzieningen) van 130 miljoen slaat vermoedelijk op de totale behoefte, los van wat er vandaag al geïnvesteerd wordt, wat meer is dan 15 miljoen, stippen ze aan (klopt, de minister trok dit jaar 39,5 miljoen extra uit, maar dat is niet-structureel, red.).
Verantwoordelijkheid
“Volgens ons kan, zal en moet de overheid de cyberproblematiek niet oplossen. Dus we vinden verrassend dat veel deelnemers dat wel verwachten. Uiteraard moeten ze voldoende financiële middelen voorzien, maar het is en zal een verantwoordelijkheid blijven van het ziekenhuis of de arts/apotheker.” “Dus wij zijn wel verbaasd dat 50% denkt dat ze niet verantwoordelijk kunnen gesteld worden voor een cyberincident. De overheid zou dit alleen kunnen oplossen als de overheid ook de keuze en het beheer van de systemen onder zich krijgt, maar vermoedelijk willen de inzenders dat dan weer wel niet aan de overheid overlaten.”
Ze geven aan dat de cijfers over het updaten van applicaties en toestellen verder geanalyseerd moeten worden, omdat in een ziekenhuiscontext elk ziekenhuis dat doet voor personeel en artsen, in tegenstelling tot de privécontext.
Wel geven ze toe dat medische apparatuur inderdaad een risico vormt en soms slecht beveiligd is. “Vandaag zijn er gelukkig niet veel cases bekend waar men via de medische apparatuur het netwerk heeft gehackt en bijvoorbeeld een ransomware-aanval gelanceerd heeft. De meeste ziekenhuizen plaatsen medische apparatuur ook in een deel van het netwerk dat niet zomaar van buiten kan benaderd worden.”
Vreemd vinden ze dat men meer uitleg wenst van die leveranciers: “We denken dat het veel belangrijker is dat deze firma’s gewoon zorgen dat het in orde is. De firma kan ook maar tot op zekere hoogte voor beveiliging zorgen: de plaatsing op het netwerk en de connecties met andere software moet ook op een veilige manier gebeuren en dat is de verantwoordelijkheid van de gebruiker.“
NIS2
Dat niemand van NIS2 gehoord heeft, verbaast hen niet. Niet alle ziekenhuisartsen moeten hier ook iets van afweten, vermits dat door het ziekenhuis getrokken wordt. “Daarnaast valt een deel van de niet-ziekenhuis artsen/apothekers waarschijnlijk onder de drempel van 10 miljoen euro die NIS2 aangeeft. Enkele zullen in de vork van 10 milj en 50 milj euro zitten: in de categorie “belangrijke entiteit”. De voorwaarden hiervoor zijn lichter dan voor de essentiële entiteiten (vanaf 50 milj euro)”, stippen ze aan.
> Artsen en apothekers roepen volgende regering op om te investeren in cyberbeveiliging
> Wim Bijnens (Shield): "Enquête cyberveiligheid onthult verontrustende situatie"
> Lees de resultaten van de volledige enquête in De Specialist 221